Журнал "Information Security/ Информационная безопасность" #2, 2019

Особенно активно про- цесс категорирования про- ходит в сфере здравоохра- нения, энергетики и топлив- но-энергетического ком- плекса. В аутсайдерах ока- зались сферы науки, ракет- но-космической промышлен- ности и горнодобывающей промышленности. Субъект попадает под действие закона, если у него есть критические про- цессы. Согласно постанов- лению № 127, это управлен- ческие, технологические, производственные, финан- сово-экономические или иные процессы, при наруше- ния которых в результате действия компьютерной атаки будет нанесен ущерб одной из пяти групп, опреде- ленных законом, и пяти группам категорий значений показателей, которые опре- делены в приложении к 127- му постановлению. В соответствии с 127-м постановлением согласова- ние категорирования с вышестоящими инстанция- ми обязательно только для подведомственных органи- заций либо в том случае, если регулятор области определил необходимость такого согласования. дят лаборатории, которые являются его целевой аудито- рией. Объем испытаний увели- чится, и хотя методы останутся традиционными, в них будут учтены тенденции в области ста- тического и динамического ана- лизов. В методику также войдут рекомендуемые виды или клас- сы средств, которые можно использовать. Для этого потре- буется повышение уровня под- готовки специалистов. Категорирование В последнее время увеличи- вается объем поступающих во ФСТЭК сведений об объектах, которые провели категориро- вание. "Сведения о результатах кате- горирования нам предоставили более 2 тыс. объектов критиче- ской информационной инфра- структуры, но около 600 сведе- ний нам пришлось вернуть на доработку из-за ошибок, которые допустили заявители, – расска- зывает заместитель начальника управления ФСТЭК России Елена Торбенко, – например, в документах занижают значения показателей критериев значи- мости. Это одна из причин, по которой мы пересмотрели 127-е постановление правительства ". ФСТЭК России уже разрабо- тал ту часть нормативно-пра- вовой базы, которая необходи- ма для реализации полномочий службы после выхода 188-ФЗ. Нормативная база помогает субъекту определить, относится ли он к области действия феде- рального закона, провести кате- горизацию, а также внедрить меры по обеспечению безопас- ности значимого объекта в слу- чае, если он является владель- цем объекта. Вопрос о принадлежности к субъекту – один из самых популярных. Чтобы ответить на него, необходимо проанализи- ровать, чем занимается субъект и какие полномочия он реали- зует. Если его полномочия сов- падают с тринадцатью сферами, определенными федеральным законом, и у него есть объекты, которые реализуют полномочия ИС, АСУ или ИТКС, то субъект попадает в сферу деятельности федерального закона. Субъект попадает под дей- ствие закона, если у него есть критические процессы. Соглас- но постановлению № 127, это управленческие, технологиче- ские, производственные, финансово-экономические или иные процессы, при нарушения которых в результате действия компьютерной атаки будет нанесен ущерб одной из пяти групп, определенных законом, и пяти группам категорий значе- ний показателей, которые опре- делены в приложении к 127-му постановлению. Чтобы определить перечень объектов, подлежащих катего- рированию, прежде всего необходимо оценить послед- ствия от нарушения производ- ственных процессов, и если такие нарушения будут, то нужно включать объект в пере- чень КИИ. Возможный ущерб оценива- ется не по всем показателям критериев значимости. При оценке по пяти группам пока- зателей должны быть оценены все критерии либо сделан вывод о том, что критерий не применяется. Можно также ука- зать конкретное значение кри- терия, войдет ли он в три кате- гории или будет меньше ниж- него значения третьей катего- рии. Тем не менее оценка долж- на быть проведена по всем показателям критериев значи- мости. Зачастую в обосновании того, что критерий неприменим, указывают применение техни- ческих мер защиты информа- ции. Однако это не может являться обоснованием для того, что критерий неприменим. Прочерков в форме также не должно быть. В 127-е постановление пра- вительства в ближайшее время будут внесены изменения. Преж- де всего, если объект относится к первой категории по экономи- ческим или экологическим пока- зателям, то остальные категории оценивать не придется. Более подробно будет описана про- цедура категорирования вновь создаваемых объектов, когда задается категория и когда она может применяться. Появится подробное описание вопросов функционирования и создания комиссий по катего- рированию. Данные комиссии по субъектам, владеющим значимыми объектами, должны быть постоянно действующими. В документах появятся четкие указания, когда комиссии будут сформированы и какие особен- ности есть в их работе. В постановлениях, а именно в правилах категорирования, будет указано, что при оценке показателя значимости должен рассматриваться наихудший сценарий, т.е. максимально воз- можное воздействие на систему субъекта. Будет описано, каким образом производить категори- рование взаимосвязанных объ- ектов. Например, если от нару- шений объекта может постра- дать другой, зависимый, объект, то это также нужно учитывать при категорировании. ФСТЭК России планирует предложить правительству уста- новить срок утверждения переч- ней объектов, подлежащих кате- горированию, июнем 2019 г. Если проект будет одобрен, то с июня 2019 г. у субъектов оста- нется один год на категориро- вание существующих объектов. На все объекты может быть соз- дан, написан и утвержден только один акт категорирования. Сведения о категорировании будут отправляться в ФСТЭК и в печатном, и в электронном виде, т.к. поступает очень боль- шой объем сведений от некото- рых субъектов. Ряд показателей критериев значимости также пересмотрят. Но прежде всего в показателях 2 и 3 будет четко прописана нижняя граница территориаль- ного образования. Муниципаль- ные будут рассматриваться с чис- ленностью от 2 тыс. человек. Показатель 4, связанный с субъектами, оказывающими услуги связи, теперь привязан к количеству абонентов. Эти изме- нения ФСТЭК обсудил с субъ- ектами, работающими в данной области, и учел их пожелания к данному показателю. Изменение формулировок коснулось и показателя 8. В нем была изменена нижняя граница оценки экономического пока- зателя исходя из практики кате- горирования. Экономический показатель 9, который вызывал много вопро- сов, также был переформули- рован. Он остался без разделе- ния по субъектам, потому что для крупных субъектов Россий- ской Федерации достаточно сложно посчитать, в какой из бюджетов и в каком объеме производятся отчисления. Показатель 13 – это госу- дарственный оборонный заказ, очень чувствительный для стра- ны показатель. Поэтому нижняя граница будет считаться от минимального ущерба, т.е. показатели выше нуля также будут рассматриваться. Кроме того, в показателе исправлены некоторые технические ошибки, которые произошли на момент • 5 В ФОКУСЕ www.itsec.ru